俄克拉荷马州立大学医疗中心遭罚款875,000美元

关键要点

俄克拉荷马州立大学医疗中心（OSU-
CHS）近日向卫生与公共服务部（HHS）支付了875,000美元的民事罚款，以解决有关健康保险可携性与责任法案（HIPAA）的潜在违规。

此外，OSU-CHS还同意实施纠正行动计划，以增强其安全管理、政策和程序。

根据报告，HHS的民权办公室（OCR）在2018年1月5日启动了对这一医疗服务提供者的审计，因为其报告了受保护健康信息（PHI）泄露事件。该事件发生在2016年3月9日，因一名威胁参与者通过其员工存储PHI的网络服务器获得访问权限，随后安装了恶意软件，导致279,865名患者的数据被暴露。

泄露的数据包括姓名、出生日期、联系方式、治疗信息、医疗补助号码、医疗提供者的姓名以及服务日期。

OSU-
CHS首次于2017年11月7日发现此事件，但未按照HIPAA的在30天内向HHS或受影响的个人报告。分析显示，该服务器的黑客攻击最早始于2016年3月9日。

“在2016年事件发生时，OSU-
CHS报告称并不知晓该服务器中存储有电子PHI，”根据OCR报告所述。调查发现，还存在其他多项HIPAA违规，包括未进行准确的风险评估、缺乏实施的审计控制和事件响应计划或报告，以及未能及时通知。

OCR主任Lisa J.
Pino在声明中表示：“如果HIPAA覆盖的实体不了解其信息系统中电子PHI存储的位置，将易受网络攻击。有效的网络安全始于准确、全面的风险分析和实施所有HIPAA要求。”

除了罚款，OSU-CHS还必须遵循一项纠正行动计划，要求该提供者对所有创收、接收、维护或共享的PHI进行企业范围的安全威胁和漏洞的风险分析。

该分析必须包括OSU-CHS用来管理健康数据的所有电子媒体、工作站或IT系统，以及其所有医疗组件。该提供者可以使用内部资源或通过第三方供应商进行评估。

在评估过程中收集的信息将用于制定风险管理计划，以应对和减轻确定的安全威胁和漏洞，该计划须在90天内提交给HHS进行审查和批准。

该纠正行动还要求OSU-
CHS制定和维护其书面HIPAA政策和程序，以管理PHI的隐私和安全，必须解决所有已识别的威胁和漏洞。该提供者还需确保其政策遵守泄露通知规则，以“应对及时通知的问题”。

所有更新的政策和程序必须分发给与PHI相关的所有工作人员。OSU-CHS还必须重新培训员工，确保其了解相关的HIPAA隐私和安全政策。

最后，OSU-
CHS需要指定一名独立审查员来监督纠正行动计划的合规性，该审查员必须具备HIPAA合规的专业知识。该监测员负责审查和分析提供者的合规情况，并监督所进行的风险评估，收集数据以确保合规。